• CWE-37: Path Traversal: '/absolute/pathname/here'

Das Produkt akzeptiert Eingaben in Form eines Slash-absoluten Pfades (’/absolute/pathname/here’) ohne angemessene Validierung, was einem Angreifer potenziell die Möglichkeit eröffnet, das Dateisystem zu durchlaufen und auf ungewollte Orte zu gelangen oder beliebige Dateien zu kompromittieren.

CWE-37: Path Traversal: '/absolute/pathname/here'

CWE ID: 37
Name: Path Traversal: ‘/absolute/pathname/here’

Beschreibung

Das Produkt akzeptiert Eingaben in Form eines Slash-absoluten Pfades (’/absolute/pathname/here’) ohne angemessene Validierung, was einem Angreifer potenziell die Möglichkeit eröffnet, das Dateisystem zu durchlaufen und auf ungewollte Orte zu gelangen oder beliebige Dateien zu kompromittieren.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.